PARCOURS 1 – MODULE 1.

1- ATELIER C
AUDIT ET GOUVERNANCE DES SYSTEMES D’INFORMATION

1. IMPORTANCE DE LA GOUVERNANCE DES SI

Bonjour, je suis Béatrice KI-ZERBO, Directeur - Recherche et partenariats techniques de l’Institut Français de
l’Audit et du Contrôle Interne. Le sujet de cette vidéo est l’Audit interne et gouvernance des Systèmes
d’Information.

En juillet 2015, l’IIA, qui représente la profession au niveau mondial, a énoncé ce que devrait être la mission
de l’audit interne : accroître et préserver la valeur de l’organisation en donnant avec objectivité une
assurance, des conseils et des points de vue fondés sur une approche par les risques.
Pour faciliter la réalisation de cette mission, 10 nouveaux principes pour la pratique professionnelle de
l’audit interne étaient également énoncés, dont 3 principes particulièrement novateurs, qui invitent les
auditeurs internes à :
 être en phase avec la stratégie, les objectifs et les risques de l’organisation,
 être perspicaces, proactifs et orientés vers le futur,
 encourager le progrès au sein de l’organisation,

Quand on connait les évolutions technologiques qui concernent tous les types d’organisation et surtout le
rôle que peut avoir ce qu’il est désormais convenu d’appeler la transformation digitale dans la création de
valeur d’une organisation (en termes de déploiement de sa stratégie de marketing, d’interaction avec ses
parties prenantes clés…) mais également dans la destruction de valeur (que ce soit par des cyber-attaques
dont l’impact est sans doute actuellement peu connu ou par d’autres événements susceptibles de
provoquer des discontinuités d’activité). Quand on connait donc tous les effets de cette transformation
digitale, il n’est finalement pas étonnant que les normes IIA/ IFACI requièrent que les services d’audit interne
évaluent si la gouvernance des systèmes d’information d’une organisation soutient et supporte sa stratégie
et ses objectifs
En effet, les SI sont aujourd’hui, plus que jamais, des leviers de création de valeur et de déclinaison de la
stratégie qu’il faut savoir piloter dans un esprit d’optimisation des ressources et de maîtrise des risques en
fonction des enjeux de l’organisation.

2. ROLE DE L’AUDIT INTERNE

Conformément à la définition de l’audit interne, il s’agit de contribuer à l’amélioration de l’efficacité des
processus de gouvernance, en veillant à la robustesse des processus de management des risques et de
contrôle interne qui les sous-tendent, comme le souligne d’ailleurs le COSO dans la mise à jour de son
référentiel de contrôle interne en 2013.

MOOC - Pilotage des organisations et processus métiers

Béatrice KI-ZERBO 1
Sans pour autant maîtriser la technologie sous-jacente, l’auditeur interne peut poser les bonnes questions :
 Le niveau et l’implication des dirigeants est-il adéquat ?
 Les ressources et les acteurs-clés sont-ils organisés et coordonnés ?
 Le SI est-il au service des « métiers » ? Par exemple, la note d’orientation stratégique des SI est-elle
articulée avec la cartographie des processus de l’entreprise ?
 L’évaluation des risques (et des opportunités) associés aux processus clés de gestion des SI est-elle
efficace ? Les plans de maîtrise sont-ils exécutés ? Surveillés au niveau approprié ?
 Quel est le niveau d’orientation vers le futur ? Le processus de priorisation des projets et de la
maintenance est-il efficace ? Les hypothèses utilisées sont-elles robustes ?

Dans le guide qu’ils ont publié en 2011, le Cigref, l’IFACI et l’AFAI ont proposé 11 vecteurs qui sont autant
d’axes pour des missions d’audit à valeur ajoutée. Vous retrouverez en filigrane les bonnes questions
évoquées tout à l’heure.
Prenons par exemple le premier vecteur : planification du SI et son intégration dans le plan stratégique de
l’entreprise. Trois principaux risques sont identifiés :
 Ne pas saisir une opportunité technologique avec un impact sur la compétitivité et donc la création
de valeur,
 Ne pas optimiser les investissements SI au regard des objectifs stratégiques,
 Ne pas anticiper une planification des ressources qui pourtant éviterait obsolescence, dérive de
coûts ou autre.

Certains domaines de la gouvernance des SI correspondent à des missions classiques d’audit interne. Par
exemple, l’évaluation des dispositifs de gestion des risques SI, le pilotage des services externalisés ou de la
performance. Peut-être que les questions d’urbanisme et d’architecture nécessiteront des expertises plus
techniques, mais encore une fois cela n’empêche pas de poser les bonnes questions.

D’autant plus que l’audit interne bénéficie d’une légitimité de fait. En tant qu’acteur-clé de la
gouvernance d’entreprise :
 Il a un positionnement dans l’organisation qui lui permet de sensibiliser la DG et le Conseil sur les
enjeux de la gouvernance des SI et donc de mieux assurer leur rôle d’orientation et de surveillance
en la matière,
 il peut faciliter le dialogue SI/métier par une communication constructive focalisée sur les processus
à enjeux,
 les techniques d’audit améliorent la fiabilité et la transparence des indicateurs de pilotage et de
décision,
 les recommandations des auditeurs internes améliorent l’efficience parce qu’ils ont une vision
globale de l’organisation, de ses règles et procédures et du rôle des acteurs clés.

MOOC - Pilotage des organisations et processus métiers

Béatrice KI-ZERBO 2